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Datenschutz im Kinderzimmer - Digitales und vernetztes Spielzeug 


Vorbemerkung der Fragesteller 

„Intelligentes“, mit dem Internet verbundenes Spielzeug, sogenannte Smart 
Toys wie digitalisierte Roboter, Uhren, Teddybären oder Puppen sind mittler¬ 
weile weit verbreitet - auch auf dem bundesdeutschen Markt. Diese technischen 
Geräte können zum Teil sensorgesteuert selbständig auf Handlungen von Kin¬ 
dern reagieren. 

Diese technischen Geräte werfen zahlreiche, ganz unterschiedlich gelagerte 
Rechtsfragen in den verschiedensten Rechtsbereichen auf, beispielsweise im 
Recht der IT-Sicherheit, im Verbraucherschutz- und Datenschutzrecht sowie im 
Haftungsrecht (vgl. etwa Hornung, VuR 2018, S. 41). Sogenannte Smart Toys 
zählen zu den Geräten des „Internet of Things“ (IoT) und teilen insoweit zahl¬ 
reiche mit der IKT-Entwicklung sowie u. a. der Thematik „Smart Homes“ ver¬ 
bundene Fragen. Aufgrund der besonderen Verletzlichkeit von Kindern und der 
spezifischen grundrechtlichen Schutzanforderungen für Kinder stellen sich dar¬ 
über hinaus noch deutlich weitergehende Fragen. 

Als mit dem Internet verbundene Systeme können intemetgestützte Sprachas- 
sistenzsysteme in gewissem Umfang Fragen der Kinder beantworten, manche 
ermöglichen ein ständiges Tracking des Aufenthaltsortes von Kindern. Zahlrei¬ 
che Geräte erfassen alle Geräusche, Stimmen und Unterhaltungen in ihrer Um¬ 
gebung, speichern diese und senden sie zur Analyse an zentrale, oft im Ausland 
liegende Server. Inwieweit es zur weiteren Verarbeitung und Auswertungen der 
erfassten Kommunikationen kommt, bleibt oftmals unklar. 

Wiederholt wurden gravierende Sicherheitslücken bei entsprechenden Geräten 
festgestellt, die sich mit geringstem Aufwand von außen übernehmen und zu 
Missbrauchszwecken wie z. B. Identitätsdiebstahl einsetzen ließen (vgl. etwa 
Marktwächter VZBV NRW, www.marktwaechter.de/pressemeldung/kein- 
kinderspiel-vernetztes-spielzeug-birgt-risiken). 

Klein- und Kleinstkinder werden mit digitalem Spielzeug ab den ersten Mona¬ 
ten ihres Lebens der Möglichkeit ständiger Erfassung und Beobachtung, auch 
durch unbefugte Dritte, unterworfen. Manipulative Zugriffe von außen im be¬ 
sonders geschützten Wohn- und Lebensbereich können das Recht auf Privatheit 
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und Unverletzlichkeit der Wohnung aushöhlen. Von ihrer IT-Sicherheit dürftig 
bis überhaupt nicht abgesicherte Massenprodukte können von außen leicht über¬ 
nommen werden: damit kann die Ausspähung und Manipulation des privaten 
Wohnumfelds zum Kinderspiel werden. Je nach Produkt können nach Ansicht 
der Fragesteller Unbefugte über die Geräte Kommunikation von außen mit den 
Kindern aufnehmen. Auch unbeteiligte Dritte können dabei in ihren Grundrech¬ 
ten verletzt werden. Damit sind auch grundlegende Fragen des Rechts auf In¬ 
tegrität und Unverletzlichkeit infonnationstechnischer Systeme aufgeworfen. 

Die Risiken dieser digitalisierten Spielzeuge für die Rechte aller davon Be¬ 
troffenen, insbesondere aber der Kinder, sind zahlreich und gravierend. Den 
Staat trifft mit Blick auf die Persönlichkeitsentwicklung von Kindern und deren 
Persönlichkeitsrechte, aber auch mit Blick auf die Voraussetzungen einer de¬ 
mokratischen und rechtsstaatlich verfassten Gesellschaft eine umfassende 
Schutzpflicht. 

Der Deutsche Bundestag hat sich bereits im März 2016 erstmalig aufgrund einer 
Kleinen Anfrage der Fraktion BÜNDNIS 90/DIE GRÜNEN mit sogenannten 
Smart Toys und speziell der Puppe Cayla befasst (vgl. Bundestagsdrucksa¬ 
che 18/8317). 

Spätestens mit dem Anfang 2017 nach § 90 des Telekommunikationsgesetzes 
ausgesprochenen Verbot der Spielzeugpuppe Cayla als unbefugte Sendeanlage 
sowie dem Verbot weiterer Produkte aus diesem Bereich durch die Bundesnetz¬ 
agentur sind die Risiken „intelligenter“ Spielzeuge einer breiteren Öffentlich¬ 
keit bekannt geworden. 

Die Digitalisierung macht vor den Kindern aller Altersgruppen insgesamt nicht 
halt, im Gegenteil. Kinder haben oftmals Zugang zu und nutzen in rasant zu¬ 
nehmendem Umfang Smartphones und andere digitale Geräte wie z. B. digitale 
Sprachassistenzsysteme. Ob und inwieweit die Bundesregierung sich zu dieser 
Entwicklung konstruktiv und problemangemessen verhält und ihrer Schutzver¬ 
antwortung angemessen gerecht wird, ist insoweit von großer gesellschaftlicher 
Bedeutung. 

Die Bundesregierung will sich zwar nach eigenen Angaben dafür einsetzen, auf 
Basis der Aktualisierung des EU Cybersecurity Acts (CSA) verpflichtende Min¬ 
destsicherheitsstandards für loT-Geräte zu etablieren (vgl. Antwort der Bundes¬ 
regierung auf die Kleine Anfrage der Fraktion BÜNDNIS 90/DIE GRÜNEN 
zur Sicherheit und Konformität von loT-Geräten, Bundestagsdrucksa¬ 
che 19/9132, S. 3). Im aktuellen Trilog-Ergebnis zum CSA (vgl. http://data. 
consilium.europa.eu/doc/document/ST-15786-2018-INIT/en/pdf) werden mit 
Unterstützung der Bundesregierung nun allerdings nur freiwillige Zertifizierun¬ 
gen in Eigenregie der Hersteller nach vertikalen Zertifikationsschemata und mit 
selbst verliehenen Sicherheitssiegeln in Aussicht gestellt ohne Angabe von 
Sanktionsmaßnahmen bei Verstößen oder gar Haftungsregeln. Auch die Frage, 
inwieweit es im Zuge der Vorlage des „IT-Sicherheitsgesetzes 2.0“ der Bundes¬ 
regierung zu verpflichtenden Mindeststandards und neuen Haftungsregelungen 
kommt, ist derzeit noch offen. 


1. Verfügen die Bundesregierung und die ihr nachgeordneten Behörden inzwi¬ 
schen über aktualisierte Ergebnisse der Marktbeobachtung, die ihr eine Ein¬ 
schätzung der zahlreichen und zum Teil sehr unterschiedlich gelagerten Ri¬ 
siken der den deutschen Markt erreichenden Smart Toys erlauben, und wenn 
ja, wie lauten diese, und wenn nein, was unternimmt die Bundesregierung, 
um ein entsprechend differenziertes Bild zu erhalten (bitte nach Behörden 
aufschlüsseln)? 

Die Bundesnetzagentur führt regelmäßig Internetrecherchen und anonyme Test¬ 
käufe durch, um Produkte zu prüfen oder geht Verbraucherbeschwerden nach. Im 
Hinblick auf die Risiken durch vernetztes Spielzeug wird auf die Pressemitteilung 
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der Bundesnetzagentur vom 7. Dezember 2018 hingewiesen (vgl. www.bundes 
netzagentur.de/SharedDocs/Downloads/DE/Allgemeines/Presse/Presse 
mitteilungen/2018/20181207_SmartToys.pdf;jsessionid=4F 1D874C805F2CEC 
EA03A7DCE0FF904B?_blob=publicationFile&v=3). 

Im Übrigen wird auf die Antwort zu Frage 15 verwiesen. 


2. Fällt nach Auffassung der Bundesregierung die Sicherheit von digitalem 
Spielzeug in die Zuständigkeit der Marktüberwachung nach dem Produktsi¬ 
cherheitsgesetz? 

IT-Sicherheit (Sicherheit im Sinne von „security“) ist nicht Gegenstand der An¬ 
forderungen zur Gewährleistung von Sicherheit und Gesundheitsschutz im Pro¬ 
duktsicherheitsgesetz bzw. in der Spielzeugverordnung. Somit fällt die IT Sicher¬ 
heit von digitalem Spielzeug nicht in die Zuständigkeit der Marktüberwachungs¬ 
behörden. Im Übrigen wird darauf verwiesen, dass die Anforderungen an Pro¬ 
dukte für Kinder weitgehend durch europäische Richtlinien bzw. Verordnungen 
geregelt sind. 


3. Welche konkreten Positionen hat die Bundesregierung mit Blick auf die be¬ 
sonderen datenschutzrechtlichen Risiken von vernetzten „Smart Toys“ und 
anderen IoT-Geräten im Zusammenhang mit den Verhandlungen zur E-Pri- 
vacy-Verordnung und der Aushandlung des Cybersecurity Acts vertreten, 
um ein sachgerechtes hohes Schutzniveau der Verbraucherinnen und Ver¬ 
braucher sicherzustellen? 

Für die Verarbeitung personenbezogener Daten ergeben sich die allgemeinen An¬ 
forderungen aus den Regelungen der EU-Datenschutz-Grundverordnung (DS- 
GVO), auch hinsichtlich der von den Verantwortlichen einer Datenverarbeitung 
zu gewährleistenden IT-Sicherheit (Artikel 32 DS-GVO). Die E-Privacy-VO soll 
auf dieser Grundlage ergänzende Regelungen für den Schutz von Privatsphäre 
und informationeller Selbstbestimmung sowie für die Gewährleistung des Tele¬ 
kommunikationsgeheimnisses bei der elektronischen Kommunikation enthalten. 
Damit ist sie ein sehr wichtiger Rechtsakt für den Schutz elementarer Grundrechte 
in der digitalen Welt. Die E-Privacy-Verordnung soll insbesondere zum Schutz 
der Privatsphäre auch die Anforderungen an das rechtmäßige Speichern von In¬ 
fonnationen auf Endeinrichtungen und an das rechtmäßige Abrufen von Informa¬ 
tionen von Endeinrichtungen durch Dritte regeln. Die Anforderungen an recht¬ 
mäßige Verarbeitung und Schutz der personenbezogenen Daten, die in solchen 
Informationen enthalten sein können, regelt die Datenschutz-Grundverordnung. 
„Smart Toys“ die an ein öffentliches Kommunikationsnetz angeschlossen sind, 
fallen - wie andere IoT-Geräte auch - als Endeinrichtungen uneingeschränkt in 
den Schutzbereich der E-Privacy-Verordnung. Hierzu bestehen keine besonderen 
Regelungen, da die E-Privacy-VO wie die Datenschutz-Grundverordnung tech¬ 
nikneutral und nicht von der verwendeten Technik abhängig ausgestaltet ist, um 
eine Umgehung von Vorschriften zu vermeiden. Die Bundesregierung hat zu 
„Smart Toys“ deshalb keine spezifische Position im Rahmen der Verhandlungen 
zur E-Privacy-Verordnung vertreten. Zu IoT-Geräten insgesamt hat die Bundes¬ 
regierung auf dem Ministerrat (Telekommunikation) am 4. Dezember 2018 fol¬ 
gende Position vertreten: 

„Wegen der Reichweite des Artikels 8 hinsichtlich Arbeitswelt, IoT und vernetz¬ 
ten Geräten sieht Deutschland aber noch Beratungsbedarf. Deutschland hält es für 
wichtig, dass in der Ratsarbeitsgruppe darüber diskutiert wird, ob Ausnahmen 
vom Anwendungsbereich vorzusehen sind. Es soll sichergestellt werden, dass der 
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erforderliche Zugriff auf Endeinrichtungen nicht eingeschränkt wird, wenn dieser 
erforderlich ist, etwa für Zwecke der intelligenten Steuerung der Energieerzeu¬ 
gung und des Energieverbrauchs, beim automatisierten und vernetzten Fahren 
(insbesondere zur Ausführung sicherheitsrelevanter Funktionen und Software- 
Updates), im vitalen Interesse des Betroffenen, in der Gesundheitsversorgung, in 
der Arbeitswelt, in der intelligenten und vernetzten Herstellung von Gütern und 
Dienstleistungen.“ 


4. Was hat die Bundesregierung bzw. speziell das federführende Bundesminis¬ 
terium für Wirtschaft und Energie konkret bewogen, im Rahmen ihrer An¬ 
passung bundesdeutscher Rechtsvorschriften an die EU-Datenschutz-Grund- 
verordnung (DSGVO) ihren bereits aufgenommenen Referentenentwurf zur 
Anpassung des Telekommunikationsgesetzes (TKG), nicht weiterzuverfol¬ 
gen und auch im Rahmen der Vierten Änderung des Telekommunikations¬ 
gesetzes nicht für die erforderliche Klarheit hinsichtlich der geltenden Vor¬ 
schriften zu sorgen? 

Die Anpassung des Telekommunikationsgesetzes an die DSGVO wurde aus dem 
Gesetzentwurf für ein 2. Datenschutz-Anpassungsgesetz und Umsetzungsgesetz 
herausgenommen, weil innerhalb der Bundesregierung noch Beratungsbedarf im 
Hinblick auf die Ausgestaltung der Aufsicht durch den Bundesbeauftragten für 
den Datenschutz und die Informationsfreiheit und die Bundesnetzagentur be¬ 
stand. Dies galt insbesondere mit Blick auf die noch nicht erfolgte Positionierung 
innerhalb der Bundesregierung zur Ausgestaltung der Aufsicht in der zukünftigen 
E-Privacy-Verordnung und zu den Anforderungen der Datenschutz-Grundver¬ 
ordnung an die Aufsicht im Rahmen der E-Privacy-Verordnung. Zur Aufsicht hat 
die Bundesregierung auf dem Ministerrat (Telekommunikation) am 4. Dezember 
2018 folgende Position vertreten: „Soweit die Verarbeitung personenbezogener 
Daten betroffen ist, sollte ein Gleichklang zwischen DSGVO und E-Privacy-VO 
bestehen.“ Auf dieser Grundlage soll die erforderliche Anpassung des Telekom¬ 
munikationsgesetzes an die Datenschutz-Grundverordnung kurzfristig auf den 
Weg gebracht werden. 


5. Teilt die Bundesregierung die Auffassung des Bundesbeauftragten für den 
Datenschutz und die Informationsfreiheit (Stellungnahme gegenüber dem 
Innenausschuss des Deutschen Bundestages 19(4)151 vom 26. Oktober 
2018), wonach durch die Nichtanpassung der Rechtsvorschriften insbeson¬ 
dere des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes 
(TKG) erhebliche Rechtsunsicherheit hinsichtlich des anzuwendenden 
Rechts entstanden ist, welche auch den notwendigen Vollzug der Bestim¬ 
mungen nachteilig beeinträchtigen könnte, und wenn nein, warum nicht? 

Die erforderlichen Anpassungen des Telemediengesetzes und des Telekommuni¬ 
kationsgesetzes erfolgen gesondert und zeitnah neben dem bereits laufenden Ge¬ 
setzgebungsvorhaben zur Anpassung des bereichsspezifischen Datenschutzrechts 
durch das Zweite Datenschutzanpassungs- und Umsetzungsgesetz EU (Bundes¬ 
tagsdrucksache 19/4674). Die Bundesregierung hat keine Erkenntnisse über eine 
erhebliche Rechtsunsicherheit in diesem Bereich. Die DSGOV findet seit dem 
25. Mai 2018 - unabhängig von noch offenen Gesetzesvorhaben zur Anpassung 
an diese - unmittelbar Anwendung. 
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6. Inwiefern teilt die Bundesregierung die Auffassung des Bundesbeauftragten 
für den Datenschutz und die Informationsfreiheit (siehe ebenfalls die in 
Frage 4 angeführte Stellungnahme), wonach die Bundesnetzagentur 
(BNetzA) nicht den Anforderungen entspricht, die das europäische Recht an 
die Unabhängigkeit und Weisungsfreiheit der Datenschutzvorschriften kon¬ 
trollierenden Stellen aufstellt (Artikel 8 Absatz 3 der Charta der Grundrechte 
der Europäischen Union; Artikel 16 Absatz 2 Satz 2 des Vertrags über die 
Arbeitsweise der Europäischen Union sowie dazu ergangene die eindeutige 
Rechtsprechung des Gerichtshofs der Europäischen Union), und wenn sie 
diese teilt, wann wird die Bundesregierung hier die Verhältnisse den entspre¬ 
chenden Anforderungen anpassen? 

Die Bundesregierung weist darauf hin, dass die weiterhin geltende ePrivacy- 
Richtlinie (Richtlinie 2002/58/EG) in Artikel 15a Absatz 3 die Überwachung und 
Durchsetzung der Einhaltung der gemäß dieser Richtlinie erlassenen innerstaatli¬ 
chen Rechtsvorschriften jedenfalls auch den Regulierungsbehörden zuweist. Die 
Regelung wurde durch Artikel 2 der Richtlinie 2009/136/EG in die ePrivacy- 
Richtlinie eingefügt. Im Übrigen wird auf die Antwort zu Frage 4 verwiesen. 


7. Teilt die Bundesregierung die Auffassung, dass der unabhängige Bundesbe¬ 
auftragte für den Datenschutz und die Infonnationsfreiheit vollständig mit 
der Aufgabe der Aufsicht über die Einhaltung der Datenschutzbestimmun¬ 
gen im Bereich der Telekommunikationsuntemehmen betraut werden sollte 
und dazu gesetzlich die bisherigen Sanktionsmöglichkeiten der Bundesnetz¬ 
agentur eingeräumt bekommen sollte, und wenn nein, warum nicht? 

Auf die Antwort zu Frage 4 wird verwiesen. Die Bundesregierung befürwortet 
bei der Aufsicht über die Einhaltung von Datenschutzbestimmungen einen 
Gleichklang mit der DSGVO. Dies bedeutet eine vollständige Aufgabenwahmeh- 
mung durch die unabhängige Datenschutzaufsichtsbehörde, in diesem Fall durch 
den Bundesbeauftragten für Datenschutz und Informationsfreiheit. 


8. Teilt die Bundesregierung die Auffassung, dass die bisherige Beschränkung 
des Produktsicherheitsrechts auf das Schutzgut der körperlichen Integrität 
weder die besondere Gefahrenlage vernetzter Spielzeuge und anderer IoT- 
Geräte mit ihrer Vielzahl eingebauter Schwachstellen, noch die berechtigten 
Schutzerwartungen der Nutzerinnen und Nutzer abzubilden in der Lage ist 
(vgl. etwa Bäumerich, DVB1. 2019, S. 219, 224), und empfiehlt sich vor die¬ 
sem Hintergrund ein zumindest bereichsbezogenes nationales oder europäi¬ 
sches Produktsicherheitsrecht für Software oder zumindest für sogenannte 
Smart Toys und wenn nein, warum nicht? 

Embedded Software verfügt als unselbstständige, produktnahe Software über 
eine gesetzliche Fundierung im Produktsicherheitsgesetz ProdSG. Zu IT-Sicher- 
heit im Sinne von „security“ in Spielzeug wird auf die Antworten zu den Fragen 2 
und 3 verwiesen. 
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9. Sieht die Bundesregierung angesichts der bereits bekannt gewordenen Prob¬ 
leme bei vernetztem Spielzeug und anderen IoT-Geräten die Notwendigkeit, 
den Sicherheitsbegriff in der europäischen Spielzeugrichtlinie auszuweiten, 
so dass auch Gesundheit, IT-Sicherheit und Datenschutz zur Anforderung 
der Spielzeugsicherheit werden, und wenn nein, warum nicht? 

10. Wirkt die Bundesregierung darauf hin oder hat sie bereits, wenn ja in wel¬ 
chem konkreten Kontext, darauf hingewirkt, dass die EU-Kommission eine 
Überarbeitung der Spielzeugrichtlinie mit dem Ziel der Einbeziehung von 
vernetzten digitalen Spielzeugen und anderen IoT-Geräten hinsichtlich typi¬ 
scher Risiken vornimmt, und wenn nein, warum nicht? 

Die Fragen 9 und 10 werden zusammen beantwortet. 

Die Bundesregierung hält eine Erweiterung der europäischen Spielzeugrichtlinie 
auf die Bereiche IT-Sicherheit und Datenschutz für nicht zielführend, sondern 
hält eine übergreifende Regelung, die auch andere Bereiche einbezieht für sinn¬ 
voller. Im Übrigen wird auf die Antworten zu den Fragen 2 und 3 verwiesen. 


11. Inwiefern wirkt die Bundesregierung auf europäischer Ebene auf eine ver¬ 
pflichtende Drittzertifizierung für Spielzeug und andere IoT-Geräte hin, die 
neben anderen Sicherheitsaspekten auch IT-Sicherheits- und Datenschutzri¬ 
siken berücksichtigt, und wenn nein, warum nicht? 

Der für IT-Zertifizierungen maßgebliche allgemeine Rechtsrahmen auf europäi¬ 
scher Ebene wird künftig durch den Cyber Security Act (CSA) bestimmt. Um 
vernetzte Spielzeuge oder andere IoT-Geräte künftig europäisch einheitlich zer¬ 
tifizieren zu können, bedarf es eines im Rahmen des CSA abgestimmten Sche¬ 
mas. Drittzertifizierungen könnten durch spezialgesetzliche Vorschriften ver¬ 
pflichtend vorgegeben werden. Konkrete Vorhaben dazu sind der Bundesregie¬ 
rung derzeit nicht bekannt. Unabhängig davon enthält die DS-GVO bereits Be¬ 
stimmungen zur Einführung von Zertifizierungsverfahren sowie von Daten¬ 
schutzsiegeln und -prüfzeichen, die dem Nachweis dienen, dass die für die Da¬ 
tenverarbeitung Verantwortlichen und die Auftragsverarbeiter bei der Verarbei¬ 
tung von Daten die Bestimmungen der DSGVO einhalten (Artikel 42 f.). 


12. Werden festgestellte Verstöße wie im Fall der Spielzeugpuppe „Cayla“ oder 
festgestellte Datenschutz- und IT-Sicherheitsmängel von den zuständigen 
Behörden an das europäische Schnellwamnetzwerk RAPEX weitergegeben, 
und wenn ja, in wie vielen Fällen in den letzten drei Jahren (bitte konkret 
auflisten), und wenn nein, warum nicht? 

Das europäische Schnellwamnetzwerk RAPEX ist ein Instrument im Kontext der 
Regelungen zur Produktsicherheit. Datenschutz- und IT-Sicherheitsmängel von 
vernetztem Spielzeug fallen nicht in den Zuständigkeitsbereich der Marktüber¬ 
wachungsbehörden. Dazu wird auf die Antwort zu Frage 2 verwiesen. 

Bei der Spielzeugpuppe „Cayla“ wurden Verstöße gegen das Verbot missbräuch¬ 
licher Sende- oder Telekommunikationsanlagen nach § 90 TKG geahndet. Da es 
sich hier um eine rein nationale Rechtsnorm aus dem Telekommunikationsrecht 
handelt, fiel dieser Fall nicht in den Anwendungsbereich des RAPEX-Verfahrens. 
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13. Teilt die Bundesregierung den von der britischen Regierung für IoT-Pro- 
dukte allgemein formulierten Anforderungskatalog (vgl. EPIC-Stellung- 
nahme, S. 4, https://epic.org/comments/EPIC-Comments-EU-Toy-Safety- 
Directive.pdf), und wenn nein, welche vergleichbaren Sicherheits-Anforde¬ 
rungen sieht sie im Falle von „Smart Toys“ und anderen IoT-Geräten als 
einschlägig an? 

Soweit sich diese von einer US-amerikanischen Nichtregierungsorganisation for¬ 
mulierten Anforderungen auf datenschutzrechtliche Aspekte der IT-Sicherheit 
beziehen, wird auf die Antworten zu den Fragen 2 und 3 verwiesen. 


14. Wie bewertet die Bundesregierung das Vorgehen der Bundesnetzagentur 
(BNetzA) in Fällen, bei denen die Positionsdaten und weitere Informationen 
von mehreren Tausend Kindern abgegriffen werden können, aber offenbar 
keine systematische Prüfung der Produktpaletten und Intervention seitens 
der Bundesnetzagentur erfolgte (vgl. http://0x0000dead.de/Watchgate_ 
TROOPERS2019.pdf)? 

Die Inhalte des Berichtes sind der Bundesnetzagentur bekannt. Bei der dort ange¬ 
sprochenen Thematik handelt es sich nach Einschätzung der Bundesnetzagentur 
jedoch um ein IT-Sicherheitsproblem, da die genannten Vidimensio-Smartwat- 
ches nicht ausreichend gegen Flackingmaßnahmen geschützt sind. Die Bundes¬ 
netzagentur hat jedoch im Zusammenhang mit Verstößen gegen § 90 TKG für die 
Behebung von IT-Sicherheitsrisiken keine rechtliche Grundlage. 

Der Hacker, der die IT-Sicherheitsprobleme ausnutzt und so die Kinderuhr an¬ 
greift, um das Kind und dessen Umgebung abzuhören, kann dadurch vielmehr 
eine Straftat nach dem Strafgesetzbuch (StGB) begehen. In Betracht kommt eine 
Strafbarkeit nach §201 StGB („Verletzung der Vertraulichkeit des Wortes“). 
Auch eine Strafbarkeit nach § 202a StGB („Ausspähen von Daten“) kann gege¬ 
ben sein. Diese Straftaten sind allein durch die Staatsanwaltschaft zu verfolgen. 

Die Bundesnetzagentur hat im Mai 2018 einige Modelle der Firma Vidimensio 
(„kleiner Affe“, „kleiner Pinguin“ und „kleiner Tiger“) dahingehend überprüft, 
ob ein Abhören mittels „SMS Commands“ und über die Apps „Find my kids“ 
sowie „Vidimensio GPS-Trackers“ möglich ist. Der Test fiel negativ aus. Im wei¬ 
teren Verlauf wurden auch acht weitere Smartwatchmodelle der Firma Vidimen¬ 
sio auf einen Verstoß gegen § 90 Absatz 1 TKG getestet. Auch diese Modelle 
verfügen nicht über eine Abhörfunktion. 


15. Flat das Bundesamt für Sicherheit in der Infonnationstechnik (BSI) bereits 
oder plant es eigene Untersuchungen im Bereich der „Smart Toys“ oder an¬ 
derer IoT-Produkte mit dem Ziel der Verbraucherunterstützung und Ver¬ 
brauchersicherheit, und wenn nein, warum nicht? 

Das Bundesamt für Informationstechnik (BSI) hat in der Vergangenheit bereits 
Untersuchungen von vernetztem Spielzeug und Smart Home Produkten vorge¬ 
nommen, um die Sicherheit dieser zu beurteilen und Anwender bei Risiken infor¬ 
mieren zu können. Im Zuge der im Koalitionsvertrag festgelegten Etablierung des 
digitalen Verbraucherschutzes als neue Aufgabe des BSI ist der Ausbau der Ak¬ 
tivitäten im Bereich der Marktbeobachtung und Sicherheitstests geplant. Das BSI 
als das Kompetenzzentrum in Deutschland für Fragen der Informations- und Cy¬ 
ber-Sicherheit ist ein wichtiger Gestalter des digitalen Verbraucherschutzes. Be¬ 
reits jetzt arbeitet das BSI mit etablierten und anerkannten Partnern im Feld des 
Verbraucherschutzes zusammen. 
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Im März 2017 hat das BSI mit der Verbraucherzentrale Nordrhein-Westfalen ein 
sog. „Memorandum of Unterstanding“ (MoU) zur verstärkten Zusammenarbeit 
unterzeichnet. Im Bereich der „Smart Toys“ wurde im Frühjahr 2018 in Zusam¬ 
menarbeit mit der Verbraucherzentrale Nordrhein-Westfalen der Spielzeugrobo¬ 
ter „Anki Cozmo“ analysiert. Ziel der Untersuchung war, das Produkt auf seine 
Sicherheitseigenschaften zu untersuchen und ggf. vorhandene Schwachstellen zu 
identifizieren. Das Ergebnis wurde von der Verbraucherzentrale Nordrhein-West¬ 
falen in einen entsprechenden Bericht eingearbeitet: www.marktwaechter.de/ 
sites/default/files/downloads/bericht-vernetztes-spielzeug.pdf. 

Zurzeit läuft ein weiteres Projekt mit der Verbraucherzentrale Nordrhein-Westfa¬ 
len. Hierbei werden zwei IoT-Überwachungskameras sowie ein IoT-Rauchmel- 
der und ein IoT-CO-Warner unterschiedlicher Hersteller auf ihre Sicherheitsei¬ 
genschaften überprüft. 

Das BSI arbeitet zudem an Mindestsicherheitsanforderungen, welche den über¬ 
geordneten Bereich der intemetfahigen Endkundengeräte (kurz: IoT-Geräte) und 
damit auch „Smart Toys“ betreffen. Darunter fallen zum Beispiel die Technische 
Richtlinie BSI RT-03148 Sichere Breitband Router (www.bsi.bund.de/DE/Publi 
kationen/TechnischeRichtlinien/tr03148/tr03 148_node.html) und die inzwischen 
veröffentlichte DIN SPEC 27072. Gleichzeitig klärt das BSI Bürgerinnen und 
Bürger auf verschiedensten Kanälen über die Gefahren im Bereich der „Smart 
Toys“ auf. Beispielhaft wird auf die Veröffentlichung des Artikels „Smarte 
Spielzeuge - Lernhilfen oder Spione?“ und den dazugehörigen Videobeitrag 
(www.bsi-fuerbuerger.de/BSIFB/DE/DigitaleGesellschaft/IoT/SmartToys/ 
SmartToys node.html) verwiesen. 


16. Wie viele Beschäftigte der Bundesnetzagentur sind mit der Sichtung und 
Kontrolle der in ihren Zuständigkeitsbereich fallenden „intelligenten“ Spiel¬ 
zeugprodukte und anderer IoT-Geräte befasst, und hält die Bundesregierung 
diese Ausstattung mit Blick auf Quantität und Qualität der Herausforderung 
für angemessen? 

Für die Verfolgung von Verstößen gegen § 90 TKG werden derzeit 13 Beschäf¬ 
tigte in der Bundesnetzagentur eingesetzt. Weiterhin überwacht die Bundesnetz¬ 
agentur elektrische und elektronische Geräte mit 102 Beschäftigten an zehn 
Standorten auf dem deutschen Markt nach dem Gesetz über die elektromagneti¬ 
sche Verträglichkeit von Betriebsmitteln (EMVG) und dem Gesetz über die Be¬ 
reitstellung von Funkanlagen auf dem Markt (FuAG). IT-Sicherheit fällt - wie in 
der Antwort zu Frage 2 ausgeführt - nicht in die Zuständigkeit der Marktüberwa¬ 
chungsbehörden. 


17. Welchen Beitrag wird die Bundesregierung dafür leisten, dass auch die Da¬ 
tenschutzbehörden des Bundes und der Länder ihren gesetzlichen Verpflich¬ 
tungen durch sachgerechte Ausstattung und finanzielle Ressourcen nach- 
kommen können, die besonderen Risiken vernetzter Spielzeuge und vernetz¬ 
ter Produkte zu adressieren und die Durchsetzung des Datenschutzrechts zu 
gewährleisten? 

Die Bundesregierung erachtet eine angemessene Ausstattung der unabhängigen 
Datenschutzbehörden des Bundes und der Länder für wichtig und notwendig, da¬ 
mit diese Behörden ihre nach der DSGVO festgelegten gesetzlichen Aufgaben 
effizient und wirkungsvoll ausführen können. 
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Die Datenschutzaufsichtsbehörden des Bundes und der Länder sind gemäß den 
EUTechtlichen Vorgaben unabhängige Behörden. Etwaigen Personalbedarf müs¬ 
sen sie selbständig bei dem für die Aufstellung des Haushaltsplans zuständigen 
Finanzministerium anmelden. Für die Ausstattung der Datenschutzaufsichtsbe¬ 
hörden der Länder sind die Länder (und damit letztlich die Landesparlamente) 
zuständig. 

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) 
bringt als unabhängige oberste Bundesbehörde seine Personal- und Sachmittelan- 
sätze in das Verfahren zur Aufstellung des Bundeshaushaltsplanes (Einzelplan 
21) selbständig ein. Eine entsprechende Ausstattung des BfDI mit den erforderli¬ 
chen Personal- und Sachmitteln muss der Deutsche Bundestag als Haushaltsge¬ 
setzgeber bewilligen. 


18. Wie bewertet die Bundesregierung die Gefahr, dass unsichere „smarte“ 
Spielzeuge und andere IoT-Geräte zu Botnetzen verbunden werden, die wie¬ 
derum für IT-Angriffe verwendet werden? 

Diese Gefahr wird als hoch bewertet (siehe auch Botnetzlagebericht des BSI). In 
Deutschland sind mit dem Internet verbundene Geräte innerhalb eines internen 
Netzwerks in der Regel über einen Heim-Router ans Internet angebunden. 
Dadurch ist derzeit noch ein gewisser Schutz gegen Masseninfektionen gewähr¬ 
leistet. Falls vernetzte Geräte jedoch exponiert sind, womit zunehmend zu rech¬ 
nen ist, und direkt mit dem Internet verbunden sind, können sie beispielsweise 
Malware aufgrund eines übernommenen Steuersystems nachladen. Die potenti¬ 
elle Gefahr steigt somit. Details zu dieser Einschätzung lassen sich auch dem Be¬ 
richt zur Lage der IT-Sicherheit des BSI (www.bsi.bund.de/DE/Publikationen/ 
Lageberichte/lageberichte node.html) entnehmen. 


19. Wie bewertet die Bundesregierung die Gefahr, dass unsichere „smarte“ 
Spielzeuge und andere IoT-Geräte, die mit einer Video funktion versehen 
sind, von Dritten übernommen werden und entsprechende Bildaufzeichnun¬ 
gen für verschiedene (kriminelle) Zwecke missbraucht werden können? 

IoT-Geräte sind bei unzureichenden IT-Sicherheitsvorkehrungen der Gefahr ei¬ 
ner Übernahme durch Dritte ausgesetzt. Geeignete Suchmaschinen oder entspre¬ 
chende besondere Suchanfragen vereinfachen das Auffinden von offen erreich¬ 
baren oder von Schwachstellen betroffenen Geräten und erleichtern somit den 
unbefugten Zugriff. Zwar kann der Heimrouter, wie unter in der Antwort zu 
Frage 18 beschrieben, viele Angriffe verhindern, jedoch besteht weiterhin die Ge¬ 
fahr, dass IoT-Geräte, z. B. auch solche, die von Bürgerinnen und Bürgern be¬ 
wusst als online-verfügbar konfiguriert wurden, übernommen werden. 


20. Wie bewertet die Bundesregierung Gefahren, die dadurch entstehen, dass 
Kommunikationen über „smartes“ Spielzeug und andere IoT-Geräte auch 
auf Servern in Ländern gespeichert werden, in denen entsprechende gesetz¬ 
liche Regelungen Sicherheitsbehörden und Nachrichtendiensten weitrei¬ 
chende Zugriffsrechte gewähren, beispielsweise in China und den USA? 

Übermittlungen personenbezogener Daten in Länder außerhalb der Europäischen 
Union (sog. Drittländer) sind nur unter Einhaltung der in Kapitel V DSGVO nie¬ 
dergelegten Bedingungen wie auch der sonstigen Bedingungen der DSGVO zu¬ 
lässig (vgl. Artikel 44 Satz 1 DSGVO). Dies soll sicherstellen, dass das durch die 
DSGVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben 
wird (vgl. Artikel 44 Satz 2 DSGVO). Datenübermittlungen an Drittstaaten sind 
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danach nur zulässig, wenn ein sogenannter Angemessenheitsbeschluss nach Ar¬ 
tikel 45 DSGVO vorliegt, wenn der für die Datenverarbeitung Verantwortliche 
oder Auftragsverarbeiter geeignete Garantien vorsieht und der betroffenen Person 
durchsetzbare und wirksame Rechtsbehelfe zur Verfügung stehen oder wenn eine 
Ausnahme nach Artikel 49 DSGVO gegeben ist. Zu den geeigneten Garantien 
zählen etwa rechtlich verbindliche interne Datenschutzvorschriften gemäß Arti¬ 
kel 47 DSGVO, der Einsatz von Standardvertragsklauseln oder genehmigte Ver¬ 
haltensregeln zusammen mit verbindlichen und durchsetzbaren Verpflichtungen 
des Verantwortlichen oder Auftragsverarbeiters im Drittland. Die Einhaltung die¬ 
ser Bedingungen hat jede verantwortliche Stelle, die personenbezogene Daten in 
Drittstaaten übermittelt, zu beachten. Durch Einhaltung dieser Bedingungen wer¬ 
den nach Auffassung der Bundesregierung die von den Fragestellern beschriebe¬ 
nen Gefahren deutlich begrenzt. 


21. Wie bewertet die Bundesregierung das aktuelle Trilog-Ergebnis zum Cyber¬ 
security Act (CSA) (vgl. http://data.consilium.europa.eu/doc/document/ST- 
15786-2018-INIT/en/pdf) auch vor dem Hintergrund der eigenen Ankündi¬ 
gung, sich dafür einsetzen zu wollen, verpflichtende Mindestsicherheitsstan¬ 
dards für loT-Geräte zu etablieren (vgl. Antwort der Bundesregierung auf 
die Kleine Anfrage der Fraktion BÜNDNIS 90/DIE GRÜNEN zur Sicher¬ 
heit und Konfonnität von loT-Geräten, Bundestagsdrucksache 19/9132, 
S. 3)? 

Das Ergebnis des Trilogs zum CSA widerspricht nicht den in der Antwort auf die 
Kleine Anfrage der Fraktion BÜNDNIS 90/DIE GRÜNEN zur Sicherheit und 
Konformität von loT-Geräten auf Bundestagsdrucksache 19/9132 dargestellten 
Absichten der Bundesregierung. 


22. Hält die Bundesregierung freiwillige Zertifizierungen in Eigenregie der Her¬ 
steller nach vertikalen Zertifikationsschemata und mit selbst verliehenen Si¬ 
cherheitssiegeln ohne tatsächliche Sanktionsmaßnahmen bei Verstößen oder 
gar Haftungsregeln für tatsächlich ausreichend? 

Wenn ja, wie erklärt sich der Sinneswandel (vgl. ebd.)? 

Eine Zertifizierung in Eigenregie ist nicht möglich. Flersteller körnen eine Erklä¬ 
rung abgeben, dass sie die Anforderungen bestimmter technischer Vorschriften 
oder Richtlinien enthalten. Flierbei ist nicht von einer Zertifizierung zu sprechen. 
Um der Diversität der einzelnen Gerätekategorien gerecht zu werden, ist die Ver¬ 
wendung spezifischer Vorschriften oder Richtlinien angezeigt. Dies dient vor al¬ 
lem der Schaffung besserer Transparenz für Verbraucher. Bei Nichteinhaltung 
der dargelegten Anforderungen, können ggf. wettbewerbsrechtliche Sanktionen 
drohen. 

Vertikale Zertifizierungsschemata, wie sie der CSA ggf. vorsieht, sind besonders 
dann sinnvoll, wenn es produkt- oder bereichsspezifische Anforderungen gibt. 
Dies gilt vor allem dann, wenn sich im Rahmen eines Zertifizierungsvorhabens 
aufgrund der Flöhe des erforderlichen Schutzniveaus gemäß der Assurance-Level 
Basic, Substantial, High immer spezifischere Anforderungen ergeben. 

Die freiwillige Zertifizierung nach CSA ist darüber hinaus jedoch unabhängig 
von der möglichen Einführung europäisch einheitlicher Mindestsicherheitsanfor¬ 
derungen. Im Übrigen wird auf die Antwort der Bundesregierung zu den Fragen 1 
und 2 der Kleinen Anfrage auf Bundestagsdrucksache 19/9132 verwiesen. 
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23. Wird die Bundesregierung im Zuge der Vorlage des „IT-Sicherheitsgeset- 
zes 2.0“ neue, verpflichtende Mindeststandards und Haftungsregelungen 
vorlegen? 

Falls ja, wie sehen diese konkret aus? 

Falls nein, warum nicht? 

Nach gegenwärtigem Sachstand ist nicht beabsichtigt, im Zuge der Vorlage eines 
„IT-Sicherheitsgesetzes 2.0“ verpflichtende Mindeststandards vorzusehen. Dies 
wäre vor dem Hintergrund eines möglichen Eingriffs in den EU-Binnenmarkt 
auch nicht zulässig. Auch neue Haftungsregelungen sind nicht beabsichtigt. 


24. Inwiefern ist es nach Kenntnis der Bundesregierung deutschen Ermittlungs¬ 
behörden im Rahmen von Strafverfahren möglich, auf die aus intelligenten 
Spielzeugprodukten übertragenen (und auf Servern gespeicherten) Daten zu¬ 
zugreifen, und wie viele solche Fälle sind der Bundesregierung bekannt 
(bitte nach Rechtsgrundlage aufschlüsseln)? 

Das Bundeskriminalamt hat derzeit keine Möglichkeit auf Daten im Sinne der 
Fragestellung zuzugreifen. Darüber hinaus ist der Bundesregierung nicht bekannt, 
ob in von den Ländern geführten Strafverfahren Sachverhalte der geschilderten 
Art eine Rolle gespielt haben. Welche Rechtsgrundlagen anzuwenden wären, um 
entsprechende Daten zu erheben, hängt aber von den konkreten Umständen des 
jeweiligen Einzelfalls ab. 
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